ページの本文へ

Hitachi

セキュリティ

Society 5.0時代のサプライチェーン・セキュリティ

デジタル技術の進展とともに、ビジネスモデルの変化やデジタル・トランスフォーメーション(DX)が進む昨今、自組織のみならずビジネスパートナーや委託先などを含めたサプライチェーン全体でセキュリティ対策を推奨する動きが進んでいます。新型コロナウイルスの感染拡大を通じて急速に進んだデジタル化の流れも踏まえ、なぜサプライチェーン全体でセキュリティ対策を実施することが重要なのか、また何が実施にあたっての課題となっているのかを、経済産業省 奥家敏和 サイバーセキュリティ課長と東京電機大学 佐々木良一 顧問 客員教授に伺いました。

サイバーセキュリティ、特にサプライチェーン・セキュリティは経営問題である

木下 近年、Society 5.0の実現に向けて、自組織はもちろん委託先などを含めたサプライチェーン全体でセキュリティを確保することの重要性が叫ばれています。また直近では、新型コロナウイルスの影響により、生産拠点の国内回帰などのサプライチェーン再編や、業務のデジタル化のさらなる加速が盛んに議論されている状況にあります。そういった背景を踏まえ、なぜ今、サプライチェーン全体でのセキュリティ確保が重要なものとなっているのでしょうか。

奥家 緊急事態宣言による事業活動の停滞を防ぐため、多くの事業者がテレワークを導入しました。今後この流れが拡大すると、今回対応に苦慮した工場や物流拠点の自動化、すなわちサプライチェーンの無人化が急速に進んでいくでしょう。IoTやAIの導入が加速していくでしょうから、そのタイミングで基本的な仕組みや、サイバーリスクへの対応方法について、ある程度の共通理解を持っておく必要があると思います。

東京電機大学 研究推進社会連携センター 顧問  客員教授 佐々木 良一

経済産業省 商務情報政策局 サイバーセキュリティ課長 奥家 敏和

佐々木 やはり昨今、IoTの活用が増えてきていることが、セキュリティ対策がより注目されるようになったベースにあると思います。例えば、工場や物流拠点の設備にIoTが導入されていますし、工場で生産される製品自体もIoT化してきています。IoTセキュリティガイドラインによると、IoTには、脅威の範囲や影響度が大きい、ライフサイクルが長い、などの性質があります。これらの性質はすべて、セキュリティ対策をより重要な位置づけとします。
さらに、IoTシステムはシステム・オブ・システムズ、すなわち独立して運用できるシステムを複数あわせたものだという特性があります。個々のIoTシステムにつながるシステムが増え、それぞれのシステムがインターネットにつながっていくとなると、システムのある部分における問題が全体に大きな影響を及ぼすおそれがあります。このような問題には、組織単体での対処が難しいものも含まれます。Society 5.0の時代では、サイバーセキュリティ、特にサプライチェーン問題は、全社的な問題、経営問題になってくるのです。

経済産業省 商務情報政策局 サイバーセキュリティ課長 奥家 敏和

木下 近年、Society 5.0の実現に向けて、自組織はもちろん委託先などを含めたサプライチェーン全体でセキュリティを確保することの重要性が叫ばれています。また直近では、新型コロナウイルスの影響により、生産拠点の国内回帰などのサプライチェーン再編や、業務のデジタル化のさらなる加速が盛んに議論されている状況にあります。そういった背景を踏まえ、なぜ今、サプライチェーン全体でのセキュリティ確保が重要なものとなっているのでしょうか。

奥家 緊急事態宣言による事業活動の停滞を防ぐため、多くの事業者がテレワークを導入しました。今後この流れが拡大すると、今回対応に苦慮した工場や物流拠点の自動化、すなわちサプライチェーンの無人化が急速に進んでいくでしょう。IoTやAIの導入が加速していくでしょうから、そのタイミングで基本的な仕組みや、サイバーリスクへの対応方法について、ある程度の共通理解を持っておく必要があると思います。

 

東京電機大学 研究推進社会連携センター 顧問  客員教授 佐々木 良一

佐々木 やはり昨今、IoTの活用が増えてきていることが、セキュリティ対策がより注目されるようになったベースにあると思います。例えば、工場や物流拠点の設備にIoTが導入されていますし、工場で生産される製品自体もIoT化してきています。IoTセキュリティガイドラインによると、IoTには、脅威の範囲や影響度が大きい、ライフサイクルが長い、などの性質があります。これらの性質はすべて、セキュリティ対策をより重要な位置づけとします。
さらに、IoTシステムはシステム・オブ・システムズ、すなわち独立して運用できるシステムを複数あわせたものだという特性があります。個々のIoTシステムにつながるシステムが増え、それぞれのシステムがインターネットにつながっていくとなると、システムのある部分における問題が全体に大きな影響を及ぼすおそれがあります。このような問題には、組織単体での対処が難しいものも含まれます。Society 5.0の時代では、サイバーセキュリティ、特にサプライチェーン問題は、全社的な問題、経営問題になってくるのです。

インタビュアー:株式会社 日立コンサルティング 木下 翔太郎

木下 セキュリティ対策が重要な位置づけとなるIoTでは、ビジネスパートナーも含めたサプライチェーンという観点からのセキュリティ対策が必要ということですね。

 

奥家 サプライチェーン全体のセキュリティ対策を考えるときには、「生産・創造活動の維持」「攻撃起点の多様化」という2つの視点を考慮することが必要です。前者は、自社だけでなく、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要ということです。一方後者は、攻撃起点となるチャネルが広がっている実態があり、さまざまなチャネルを活用した巧妙な攻撃は完全に防ぐことが困難な場合も多いため、サイバー攻撃を入り口で防御する対策だけでなく、受けてしまったときに、どうやってそれを検知するのか、被害を最小化し早期に事業を復旧させるためには、どうすればよいのか、という観点が必要になるということです。これを前者の観点も踏まえcollectiveに取り組む必要があります。

佐々木 攻撃者の多様化という話でいえば、サイバー攻撃に関する統計によると、いわゆる興味本位での攻撃者は10%で、スパイ活動が20%、残りの70%は経済活動が目的だということです。金銭目的でサプライチェーンを狙った攻撃が、さらに増えてくると考えられます。

木下 セキュリティ対策が重要な位置づけとなるIoTでは、ビジネスパートナーも含めたサプライチェーンという観点からのセキュリティ対策が必要ということですね。

奥家 サプライチェーン全体のセキュリティ対策を考えるときには、「生産・創造活動の維持」「攻撃起点の多様化」という2つの視点を考慮することが必要です。前者は、自社だけでなく、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要ということです。一方後者は、攻撃起点となるチャネルが広がっている実態があり、さまざまなチャネルを活用した巧妙な攻撃は完全に防ぐことが困難な場合も多いため、サイバー攻撃を入り口で防御する対策だけでなく、受けてしまったときに、どうやってそれを検知するのか、被害を最小化し早期に事業を復旧させるためには、どうすればよいのか、という観点が必要になるということです。これを前者の観点も踏まえcollectiveに取り組む必要があります。

佐々木 攻撃者の多様化という話でいえば、サイバー攻撃に関する統計によると、いわゆる興味本位での攻撃者は10%で、スパイ活動が20%、残りの70%は経済活動が目的だということです。金銭目的でサプライチェーンを狙った攻撃が、さらに増えてくると考えられます。

インタビュアー:株式会社 日立コンサルティング 木下 翔太郎

なぜサプライチェーンのセキュリティ対策が進まないのか

写真:佐々木氏

サプライチェーンセキュリティは経営問題である 佐々木 良一

木下 サプライチェーンを狙ったものも含め、サイバー攻撃への対応がさらに重要性を増す一方で、セキュリティ対策の重要性の認識が進んでいない、あるいは認識しているけれども対策が進んでいない、というケースもあるかと思います。特に事業者において、重要性の認識や対策が進まないのはなぜなのでしょうか。

奥家 セキュリティ対策を効果的に実施するために、組織には3つのポイントがあると考えています。まずは、経営トップや責任者に意思があるということ。次は、何がリスクであるかを把握できているということ。最後が、打つ手、すなわち対策があって、その対策を実施できるだけのリソースがあるということ。逆に、実際の対策が進まない場合、これらのいずれかに不足があると考えられます。特に最後のリソースですが、リソースが足りていないところには社会が寄り添っていく必要があります。例えば、セキュリティ対策を自ら実施するには限界のある中小企業を対象とした「サイバーセキュリティお助け隊事業」*1を昨年度実施し、大きな成果を得られました。

木下 組織の大きさに関わらず、例外なくサイバー攻撃の脅威にさらされていますし、自分のちょっとした活動が機器やネットワークを通じてサプライチェーンに影響していることを各自認識する必要がありますね。

佐々木 サプライチェーンをどの範囲で考えるのかという点も課題ですね。これまでサプライチェーンと認識していた製造や販売の過程だけではなく、運用・保守・廃棄まで、さらには製品から取得したデータを活用してサービスを提供するところまでという大きな範囲をサプライチェーンととらえていく必要があると思います。良い製品やサービスを作って、お客さまに安心して使っていただくまでをカバーするためには、製品やサービスのライフサイクルに沿ってセキュリティリスクの管理を推進する、PSIRTのような組織作りが重要になってきます。ただし、組織を整えて活動できているところは、まだまだ少ない印象です。(図1)

木下 IoTやデータの利活用が広がれば、サイバー攻撃を受ける確率も高くなりますし、受けたときの被害も大きくなります。サプライチェーンの中で自分の責任を果たすうえで、PSIRTは非常に重要な取り組みですね。

*1:中小企業のサイバーセキュリティの意識向上と中小企業の実態に合ったサイバーセキュリティ対策を定着させていくことを目的とした、経済産業省とIPA(独立行政法人情報処理推進機構)による実証事業。参加企業はサイバーセキュリティ対策の無償支援が受けられる。

図1 PSIRT による、製品やサービスのライフサイクルに沿ったセキュリティリスクの管理の例
図1 PSIRTによる、製品やサービスのライフサイクルに沿ったセキュリティリスクの管理の例
参考:佐々木 良一(監修)、木下 翔太郎(著) 『「つながる世界」のサイバーリスク・マネジメント 「Society 5.0」時代のサプライチェーン戦略』
(東洋経済新報社、2020年) 155ページ

社会のデジタル化が進む中で、社会全体の成熟度を上げていく

佐々木 これまでお話ししたとおり、サプライチェーン全体でセキュリティ対策を進めていくことは大切ですが、進めていくとなると、やはりお金がかかります。そのお金はどこから捻出するか、ここが最大の問題であり、これからうまくいくか、いかないかの課題なんだろうと思うんです。

奥家 コストパフォーマンスという観点でいうと、セキュリティ対策の「標準化」がポイントになってくるでしょう。「標準化」によってコストを抑える発想が必要です。サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)で示した、Society 5.0におけるセキュリティ対策の全体像を産業活動へ実装していくために、ビル、電力、防衛、自動車、スマートホームといった産業分野ごとにサブワーキンググループを立ち上げて、それぞれの分野の特性に応じたセキュリティ対策の検討を進めてもらっています。あとはタイミングですね。
例えば自動車産業では、自動運転に切り替わっていくタイミングを見据えて標準化が進むでしょう。各事業者がばらばらにセキュリティ対策を進めると、リスク管理が必要な箇所が多くなる中で、結果的に多くのコストがかかってしまう。日本自動車工業会と日本自動車部品工業会は、まずは自動車産業のサプライチェーンを支えるすべての企業において、実施すべき基本的なセキュリティ対策に抜け漏れがないかの基準を、業務基盤となるOA環境を対象にガイドラインとして1年でまとめあげました。(図2)

 

木下 業界単位でセキュリティ対策の標準化が進む一方、冒頭で奥家課長が仰ったとおり、とりわけ工場や物流拠点では自動化や無人化が進むと考えられます。工場や物流拠点の現場には必ずしもセキュリティの専門家がいるわけではないことも多く、サイバー攻撃を受けると経営に大きな影響を及ぼすポイントでありながら、まだ十分に知見がたまっていないのが実状であると思います。今後、無人化が進むと、新たにどのような課題が出てくるのでしょうか。

 

奥家 無人化にあたっては、IoTの導入などにともなう技術的な課題に加え、例えば、サイバー攻撃を受けた際の責任分界点を考えていく必要があります。

 

木下 例えば工場ですと、何か問題が起こったときに、産業用機器の製造業者、工場システムのインテグレーター、保守運用の事業者、工場を持つ事業者のどこに責任があるのか、というところですね。操業の自動化にあたって、負いきれないようなリスクがあると、ビジネスとして成り立たなくなってしまうという懸念もあります。

 

佐々木 責任分界点は難しい問題ですね。責任分担を明確にしたつもりでも、明確にしきれないこともあります。例えば、2014年にSQLインジェクション未対策のシステムでクレジットカード情報が漏えいした事件*2でも、責任のありかが裁判で争われました。どちらの責任ということよりも、全体として良いシステムを作っていくことが、より重要になってくるのではないでしょうか。

奥家 セキュリティの責任をシェアするということは、コストをシェアすることです。したがって、事業を通じて得られる恩恵や利益もシェアしなければなりません。今後は契約の形態も変わってくるでしょう。今までは責任分界点を明確にすることで、契約が成り立っていた世界でしたが、責任分界点を明確に切るということを前提とした契約ではなくなっていくと思います。法律、保険制度など、社会全体の成熟度を上げていく必要がありますね。

*2:東京地裁平成26年1月23日判決(平23(ワ)32060号)

図2 自動車産業のガイドラインにおける要求事項と達成条件の例
図2 自動車産業のガイドラインにおける要求事項と達成条件の例
「自工会/部工会・サイバーセキュリティガイドライン 0.9版」、一般社団法人 日本自動車工業会
http://www.jama.or.jp/it/cyb_sec/download/cyb_sec_guideline_V00_09.pdf (2020年6月1日)を基に作成

Society 5.0を実現するために、サイバーセキュリティの世界を超えてすべきことは

写真:奥家氏

中小企業や個人に、常に寄り添っていきたい 奥家 敏和

木下 最後に、これまでお話しいただいた背景や課題を踏まえて、我々が今後すべきことや、「官」や「学」のお立場で奥家課長や佐々木先生ご自身がやっていきたいことをお話しいただけませんか

佐々木 「学」としてやるべきことは「サプライチェーンを含んだシステムのリスクアセスメントを高度化すること」「信頼性(Trustworthiness)の輪を確かにすること」の2点だと考えています。特に前者について、セキュリティ対策を進めるにあたり、何がリスクであるかを把握できていることは非常に重要です。Society 5.0が実現するにつれて、サプライチェーンの無人化が進むと、リモートメンテナンスの需要が高まりますよね。また、IoTの中にはフィードバック系を含むシステムがあるのですが、このリスクアセスメントが難しい。セキュリティとセーフティのバランスをとりながら、これらのリスクアセスメントを考えていき、その次のステップとして、それらを時系列的に整理していく。リスクアセスメントといっても、事業者ごとにやれる範囲は限られてくると思います。CPSFなどをベースに、それぞれの事業者がどこまでやるかを決められるような仕組みを考えていきたいですね。

奥家 私は、産官学のさらなる連携ですね。CPSFというマップを基に、分野別のサブワーキンググループでガイドラインを作って、セキュリティ対策の標準化を進めていただきたいと思います。特にIoT化が進んだときの工場や物流拠点、テレワークについては、サービスを提供する事業者が共通理解で議論できるようにしておかないと、何か問題が生じたときに困ってしまうでしょう。これまでは、事業者同士がライバル関係でしたが、セキュリティは協調領域として同じ船に乗ってほしい。産業界の積極的な参加に期待しています。
また、いろいろな取り組みに対して中立で、その可能性を追い求めていくためには、それぞれの取り組みへの理解を深めなければなりません。サイバーセキュリティの世界を超えてSociety 5.0を実現するためには、各取り組みへの参加者を増やしていく必要があります。参加者を増やすためにも、最後に残る中小企業や個人に、常に寄り添っていきたいと考えています。

インタビュー後記
今回は官学のトップランナーであるお二人にお話を伺いましたが、共通認識として組織の垣根を超えた取り組みの重要性が改めて確認されました。セキュリティの取り組みは、常に時代の変化にあわせて進化する必要があります。民間分野においても、信頼できる「Society 5.0」確立に向け、各企業が組織という枠を超えてセキュリティの課題解決に向けた取り組みを加速することが期待されます。

集合写真

関連リンク

Hitachi Security Topics

(PDF形式、5.94Mバイト)

日立が取り組むセキュリティの「今」を伝えるコンテンツを、まとめてご紹介した冊子です。

  • 掲載コンテンツ
  • ・進化する生体認証 〜【世界初】夏野剛も期待する生体認証技術とは〜
  • ・Society 5.0時代のサプライチェーン・セキュリティ
  • ・パーソナルデータの利活用における日立のプライバシー保護の取り組み
  • ・TBSラジオ 見事なお仕事
    〜アップデートすべきは「非」専門家の知識。日立の新たなサイバーセキュリティ対策〜